全国计算机等级考试三级信息安全技术知识点总结.docx

《全国计算机等级考试三级信息安全技术知识点总结.docx》由会员分享，可在线阅读，更多相关《全国计算机等级考试三级信息安全技术知识点总结.docx（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品名师归纳总结第一章 信息安全保证概述1、1 信息安全保证背景1. 什么就是信息？事物运行的状态与状态变化的方式。2. 信息技术进展的各个阶段？ a、电讯技术的创造b、运算机技术进展c、互联网的使用3. 信息技术的消极影响？信息泛滥、信息污染、信息犯罪。4. 信息安全进展阶段？ a、信息保密b、运算机安全 c、信息安全保证5. 信息安全保证的含义？运行系统的安全、系统信息的安全6. 信息安全的基本属性？隐秘性、完整性、可用性、可控性、不行否认性7 信息安全保证体系框架？保证因素 :技术、治理、工程、人员安全特点 :保密性、完整性、可用性生命周期 :规划组织、开发选购、实施交付、运行爱护、废弃

2、8.P2DR 模型？策略 核心 、防护、监测、响应9.IATF 信息保证的指导性文件？可编辑资料 - - - 欢迎下载精品名师归纳总结核心要素 :人员、技术 重点、操作10、IATF 中 4 个技术框架焦点域？a、爱护本的运算环境b、爱护区域边界c、爱护网络及基础设施d、爱护支持性基础设施11.信息安全保证工作的内容？ a、确定安全需要b、设计实施安全方案c、进行信息安全评测d、实施信息安全监控与爱护12.信息安全评测的流程？见课本 p19 图 1、4受理申请、静态评测、现场评测、风险分析13.信息监控的流程？ 见课本 p20 图 1、5受理申请、非现场预备、现场预备、现场监控、综合分析1、1

3、、1 信息技术及其进展阶段信息技术两个方面:生产:信息技术产业 ;应用 :信息技术扩散信息技术核心 :微电子技术 ,通信技术 ,运算机技术 ,网络技术第一阶段 ,电讯技术的创造 ; 其次阶段 ,运算机技术的进展;第三阶段 ,互联网的使用1、1、2 信息技术的影响积极 :社会进展 ,科技进步 ,人类生活消极 :信息泛滥 ,信息污染 ,信息犯罪1、2 信息安全保证基础可编辑资料 - - - 欢迎下载精品名师归纳总结1、2、1 信息安全进展阶段通信保密阶段 20 世纪四十岁月 : 隐秘性 ,密码学运算机安全阶段 20 世纪六十与七十岁月 : 隐秘性、拜访掌握与认证,公钥密码学 Diffie Hell

4、man,DES, 运算机安全标准化 安全评估标准 信息安全保证阶段 :信息安全保证体系 IA,PDRR 模型:爱护 protection 、检测 detection 、响应 response、复原 restore,我国 PWDRRC 模型 :爱护、 预警 warning 、监测、 应急、 复原、反击 counter-attack,BS/ISO 7799 标准 有代表性的信息安全治理体系标准 :信息安全治理实施细就、信息安全治理体系规范1、2、2 信息安全的含义一就是运行系统的安全,二就是系统信息的安全:口令鉴别、 用户存取权限掌握、 数据存取权限方式掌握、审计跟踪、数据加密等信息安全的基本属性

5、 :完整性、隐秘性、可用性、可掌握性、不行否认性1、2、3 信息系统面临的安全风险1、2、4 信息安全问题产生的根源:信息系统的复杂性,人为与环境的威逼1、2、5 信息安全的位置与作用1、2、6 信息安全技术核心基础安全技术:密码技术安全基础设施技术:标识与认证技术 ,授权与拜访掌握技术基础设施安全技术:主机系统安全技术,网络系统安全技术应用安全技术 :网络与系统安全攻击技术, 网络与系统安全防护与响应技术,安全审计与责任认定技术 ,恶意代码监测与防护技术支撑安全技术 :信息安全评测技术,信息安全治理技术1、3 信息安全保证体系1、3、1 信息安全保证体系框架生命周期 : 规划组织 ,开发选购

6、 ,实施交付 ,运行爱护 ,废弃保证要素 : 技术,治理 ,工程 ,人员安全特点 : 隐秘性 ,完整性 ,可用性可编辑资料 - - - 欢迎下载精品名师归纳总结1、3、2 信息系统安全模型与技术框架P2DR安全模型 : 策略 policy, 防护 ,检测 ,响应 ;防护时间大于检测时间加上响应时间,安全目标暴露时间=检测时间 +响应时间 ,越小越好 ;提高系统防护时间 ,降低检测时间与响应时间信息保证技术框架IATF: 纵深防备策略 : 人员 ,技术 ,操作 ;技术框架焦点域 :爱护本的运算机 ,爱护区域边界 ,爱护网络及基础设施 ,爱护支撑性基础设施1、4 信息安全保证基本实践1、4、1 国

7、内外信息安全保证工作概况1、4、2 信息安全保证工作的内容确定安全需求 ,设计与实施安全方案 ,进行信息安全评测 ,实施信息安全监控其次章 信息安全基础技术与原理2、1 密码技术2、1、1 对称密码与非对称密码对称密钥密码体制:发送方与接收方使用相同的密钥 非对称密钥密码体制 :发送方与接收方使用不同的密钥对称密钥体制 :加密处理速度快、保密度高,密钥治理分发复杂代价高、数字签名困难分组密码 : 一次加密一个明文分组:DES,IDEA,AES;序列密码 :一次加密一位或者一个字符:RC4,SEAL加密方法 :代换法 :单表代换密码 ,多表代换 ;置换法安全性 :攻击密码体制 :穷举攻击法 对于

8、密钥长度 128 位以上的密钥空间不再有效,密码分析学 ;典型的密码攻击 : 唯密文攻击 ,已知明文攻击 ,挑选明文攻击 加密算法一般要能够抗击挑选明文攻击才认为就是最安全的,分析方法 : 差分分析与线性分析 ,挑选密文攻击基本运算 :异或 ,加,减,乘,查表设计思想 :扩散 ,混淆 ;乘积迭代 :乘积密码 ,常见的乘积密码就是迭代密码,DES,AES数据加密标准DES: 基于 Feistel 网络 ,3DES, 有效密钥位数 :56可编辑资料 - - - 欢迎下载精品名师归纳总结国际数据加密算法IDEA: 利用 128 位密钥对 64 位的明文分组 ,经连续加密产生64 位的密文分组高级加密

9、标准AES:SP 网络分组密码 :电子密码本模式 ECB, 密码分组链模式 CBC, 密码反馈模式CFB, 输出反馈模式 OFB,计数模式 CTF非对称密码 :基于难解问题设计密码就是非对称密码设计的主要思想,NP 问题 NPC 问题克服密钥安排上的困难、易于实现数字签名、安全性高,降低了加解密效率RSA: 基于大合数因式分解难得问题设计;既可用于加密 ,又可用于数字签名;目前应用最广泛ElGamal: 基于离散对数求解困难的问题设计椭圆曲线密码ECC: 基于椭圆曲线离散对数求解困难的问题设计通常采纳对称密码体制实现数字加密,公钥密码体制实现密钥治理的混合加密机制2、1、2 哈希函数单向密码体

10、制 ,从一个明文到密文的不行逆的映射,只有只有加密过程,没有解密过程可将任意长度的输入经过变换后得到固定长度的输出原消息的散列或消息摘要应用 :消息认证 基于哈希函数的消息认证码,数字签名 对消息摘要进行数字签名口令的安全性,数据完整性 消息摘要算法MD5:128 位安全散列算法SHA:160 位SHA 比 MD5 更安全 ,SHA 比 MD5 速度慢了 25%,SHA 操作步骤较 MD5 更简洁2、1、3 数字签名通过密码技术实现,其安全性取决于密码体制的安全程度一般数字签名 :RSA,ElGamal, 椭圆曲线数字签名算法等特别数字签名 : 盲签名 ,代理签名 ,群签名 ,不行否认签名 ,

11、具有消息复原功能得签名等常对信息的摘要进行签名美国数字签名标准DSS:签名算法 DSA可编辑资料 - - - 欢迎下载精品名师归纳总结应用 :鉴权 :重放攻击 ;完整性 :同形攻击 ;不行抵赖2、1、4 密钥治理包括密钥的生成 ,储备,安排 ,启用与停用 ,掌握 ,更新,撤销与销毁等诸多方面密钥的安排与储备最为关键借助加密 ,认证 ,签名 ,协议与公证等技术密钥的隐秘性 ,完整性 ,真实性密钥产生 :噪声源技术 基于力学 ,基于电子学 , 基于混沌理论的密钥产生技术;主密钥 ,加密密钥,会话密钥的产生密钥安排 :安排手段 : 人工分发 物理分发 ,密钥交换协议动态分发密钥属性 : 隐秘密钥安排

12、 ,公开密钥安排密钥安排技术 :基于对称密码体制的密钥安排,基于公钥密码体制的密钥安排密钥信息交换方式:人工密钥分发 ,赐予中心密钥分发,基于认证密钥分发 人工密钥分发 :主密钥基于中心的密钥分发:利用公开密钥密码体制安排传统密码的密钥;可信第三方 :密钥分发中心 KDC, 密钥转换中心 KTC; 拉模型 ,推模型 ;密钥交换协议 :Diffie-Hellman算法公开密钥安排 :公共发布 ;公用目录 ;公约授权 :公钥治理机构 ;公钥证书 : 证书治理机构CA,目前最流行密钥储备 :公钥储备私钥储备 :用口令加密后存放在本的软盘或硬盘;存放在网络目录服务器中:私钥储备服务 PKSS;智能卡储

13、备 ;USB Key 储备2、2 认证技术2、2、1 消息认证产生认证码的函数:消息加密 :整个消息的密文作为认证码消息认证码 MAC: 利用密钥对消息产生定长的值,并以该值作为认证码 ;基于 DES 的 MAC 算可编辑资料 - - - 欢迎下载精品名师归纳总结法哈希函数 :将任意长的消息映射为定长的哈希值,并以该哈希值作为认证码2、2、2 身份认证身份认证系统 :认证服务器、认证系统客户端、认证设备系统主要通过身份认证协议单向认证协议与双向认证协议与认证系统软硬件进行实现认证手段 :静态密码方式动态口令认证 :动态短信密码 ,动态口令牌 卡USB Key 认证 :挑战/ 应答模式 ,基于

14、PKI 体系的认证模式生物识别技术认证协议 : 基于口令的认证协议 ,基于对称密码的认证 ,基于公钥密码的认证2、3 拜访掌握技术拜访掌握模型 :自主拜访掌握 DAC: 拜访矩阵模型 :拜访才能表 CL, 拜访掌握表 ACL; 商业环境中 ,大多数系统 ,如主流操作系统、防火墙等强制拜访掌握 DAC: 安全标签 :具有偏序关系的等级分类标签,非等级分类标签 ,比较主体与客体的安全标签等级,拜访掌握安全标签列表ACSLL; 拜访级别 :最高隐秘级 ,隐秘级 ,隐秘级 ,无级别及 ;Bell-Lapadula模型:只答应向下读、向上写,保证数据的保密性,Biba 不答应向下读、向上写 ,爱护数据完

15、整性 ;Chinese Wall模型: 多边安全系统中的模型,包括了 MAC与DAC 的属性基于角色的拜访掌握 RBAC: 要素 :用户 ,角色 ,许可 ;面对企业 ,大型数据库的权限治理;用户不能自主的将拜访权限授权给别的用户;MAC基于多级安全需求,RBAC 不就是2、3、2 拜访掌握技术集中拜访掌握 :认证、授权、审计治理AAA治理 拨号用户远程认证服务RADIUS: 供应集中式 AAA 治理;客户端 /服务器协议 ,运行在应用层,使用 UDP 协议 ;组合认证与授权服务终端拜访掌握器拜访掌握系统TACACS:TACACS+ 使用 TCP; 更复杂的认证步骤;分隔认可编辑资料 - - -

16、 欢迎下载精品名师归纳总结证、授权、审计Diameter: 协议的实现与 RADIUS 类似 ,采纳 TCP 协议 ,支持分布式审计非集中式拜访掌握 :单点登录 SSOKerberos: 使用最广泛的身份验证协议; 引入可信的第三方。 Kerberos 验证服务器 ;能供应网络信息的保密性与完整性保证;支持双向的身份认证SESAME: 认证过程类似于 Kerberos、RADIUS 运行在 UDP 协议上 , 并且没有定义重传机制, 而 Diameter 运行在牢靠的传输协议TCP、SCTP 之上。 Diameter 仍支持窗口机制 , 每个会话方可以动态调整自己的接收窗口, 以免发送超出对方

17、处理才能的恳求。RADIUS 协议不支持失败复原机制, 而 Diameter 支持应用层确认 , 并且定义了失败复原算法与相关的状态机, 能够立刻检测出传输错误。 RADIUS 固有的 C/S 模式限制了它的进一步进展。Diameter 采纳了 peer-to-peer 模式, peer 的任何一端都可以发送消息以发起计费等功能或中断连接。Diameter 仍支持认证与授权分别 , 重授权可以随时依据需求进行。而RADIUS 中认证与授权必需就是成对显现的。2、4 审计与监控技术2、4、1 审计与监控基础审计系统 : 日志记录器 : 收集数据 ,系统调用 Syslog 收集数据 ;分析器 :分

18、析数据 ;通告器 : 通报结果2、4、2 审计与监控技术恶意行为监控 :主机监测 : 可监测的的址空间规模有限;网络监测 :蜜罐技术 软件 honeyd,蜜网 诱捕网络 :高交互蜜罐、低交互蜜罐、主机行为监视模块网络信息内容审计 :方法 :网络舆情分析 : 舆情分析引擎、自动信息采集功能、数据清理功能; 技术 :网络信息内容猎取技术 嗅探技术 、网络内容仍原分析技术; 模型:流水线模型、分段模型; 不良信息内容监控方法 : 网址、网页内容、图片过滤技术第三章 系统安全3、1 操作系统安全3、1、1 操作系统安全基础基本安全实现机制 :CPU 模式与爱护环 :内核模式、用户模式可编辑资料 - -

19、 - 欢迎下载精品名师归纳总结进程隔离 : 使用虚拟的址空间达到该目的3、1、2 操作系统安全实践UNIX/Linux系统 :文件系统安全 :全部的事物都就是文件: 正规文件、目录、特别文件/dev下设备文件 、链接、 Sockets;文件系统安全基于i 节点中的三层关键信息:UID 、GID 、模式 ;模式位 ,权限位的八进制数表示;设置 SUID 使一般用户完成一些一般用户权限不能完成的事而设置 与SGID, 表达在全部者或同组用户权限的可执行位上;chmod转变文件权限设置、chown 、chgrp;unmask 创建文件默认权限账号安全治理 :/etc/passwd、/etc/shad

20、ow; 伪用户账号 ;root 账户治理 :超级用户账户可不止一个 ,将 UID 与 GID 设置为 0 即可 ,使用可插入认证模块PAM 进行认证登录日志与审计 :日志系统 :记录连接时间的日志:/var/log/wtmp 、/var/run/utmp, 进程统计 :pacct 与acct,错误日志 :/var/log/messages Windows 系统 :Windows 安全子系统 :winlogon与图形化标识与验证GINA 、本的安全认证、安全支持供应者的接口 SSPI、认证包、安全支持供应者、网络登录服务、安全账号治理器SAM登录验证 :Kerberos用户权力与权限 :用户权限

21、 :目录权限、文件权限 ;共享权限日志与审计 :系统日志、应用程序日志、安全日志安全策略 :密码策略 ;锁定策略 ;审核策略 ; 用户全力指派 ;安全选项 ;装载自定义安全模板;windows 加密文件系统可信运算技术 :可信运算平台联盟TCPA, 可信运算组织 TCG可信 PC,可新平台模块 TPM, 可信软件栈 TSS,可信网络连接 TNC可信平台模块 TPM: 具有密码运算才能与储备才能,就是一个含有密码运算部件与储备部件的小型片上系统 ;物理可信、治理可信的 ;可信密码模块 TCM: 中国可信运算平台 :三个层次 :可信平台模块 信任根 、可信软件栈、 可信平台应用软件 ;我国:可信密

22、码模块、可信密码模块服务模块、安全应用可编辑资料 - - - 欢迎下载精品名师归纳总结可信网络连接 TNC: 开放性、安全性3、2 数据库安全3、1、1 数据库安全基础统计数据库安全现代数据库运行环境 :多层体系结构 ,中间层完成对数据库拜访的封装数据库安全功能 :用户标识与鉴定存取掌握 :自主存取掌握 :用户权限有两个要素组成: 数据库对象与操作类型 ,GRANT语句向用户授予权限 ,REVOKE语句收回授予的权限,角色 :权限的集合 ;强制存取掌握 :主体与客体 ,敏锐度标记 :许可证级别 主体、密级 客体 , 第一要实现自主存取掌握审计 :用户级审计、系统审计 ;AUDIT设置审计功能

23、,NOAUDIT取消审计功能数据加密视图与数据保密性:将视图机制与授权机制结合起来使用,第一用视图机制屏蔽一部分保密数据 ,然后在视图上再进一步定义存取权限数据完整性 :语义完整性 ,参照完整性 ,实体完整性约束 :优先于使用触发器、规章与默认值默认值 :CREATE DEFAULT规章 :CREATE RULE,USE EXEC sp_bindefault,DROP RULE事务处理 :BEGAIN TRANSACTION,COMMIT,ROLLBACK;原子性、一样性、隔离性、长久性; 自动处理事务、隐式事物、用户定义事物、分布式事务3、2、2 数据库安全实践数据库十大威逼 :过度的特权滥

24、用;合法的特权滥用; 特权提升 ;平台漏洞 ;SQL注入 ;不健全的审计 ;拒绝服务; 数据库通信协议漏洞 ;不健全的认证 ;备份数据库暴露安全防护体系 : 事前检查 ,事中监控 ,事后审计可编辑资料 - - - 欢迎下载精品名师归纳总结数据库安全特性检查 :端口扫描 服务发觉 : 对数据库开放端口进行扫描;渗透测试 : 黑盒式的安全监测 ,攻击性测试 ,对象就是数据库的身份验证系统与服务监听系统,监听器安全特性分析、用户名与密码 渗透、漏洞分析 ;内部安全监测 :安全员数据、内部审计、安全配置检查、漏洞检测、版本补丁检测数据库运行安全监控 :网络嗅探器、数据库分析器、SQL 分析器、安全审计

25、第四章 网络安全4、1 网络安全基础4、1、1TCP/IP 体系架构4、1、2 网络协议数据链路层协议 :的址解析协议 ARP, 逆向的址解析协议RARP网络层协议 :IP 协议 , Internet 掌握报文协议 ICMP: 发送出错与掌握消息 ,供应了一个错误侦测与回馈机制传输层协议 :TCP 协议 ,UDP 协议应用层协议 :HTTP,SMTP 与 POP3,DNS4、2 网络安全威逼技术4、2、1 扫描技术互联网信息搜集IP 的址扫描 : 操作系统命令ping 网络故障诊断命令 、tracer,自动化的扫描工具Namp、Superscan端口扫描 :Namp 软件 ;TCP 全连接扫描

26、 ,TCP SYN 扫描,TCP FIN 扫描 ,UDP 的 ICMP 端口不行达扫描 ,ICMP 扫描 ;乱序扫描与慢速扫描漏洞扫描 :网络漏洞扫描 :模拟攻击技术 ;主机漏洞扫描 :漏洞特点匹配技术、补丁安装信息的检测弱口令扫描 :基于字典攻击的弱口令扫描技术、基因穷举攻击的弱口令扫描技术综合漏洞扫描 :Nessus扫描防范技术 : 防火墙 ,用安全监测工具对扫描行为进行监测可编辑资料 - - - 欢迎下载精品名师归纳总结4、2、2 网络嗅探非主动类信息猎取攻击技术防范 :实现对网络传输数据的加密,VPN 、SSL、SSH 等加密与传输的技术与设备,利用网络设备的物理或者规律隔离的手段4、

27、2、3 网络协议欺诈I P 的址欺诈 :与其她攻击技术相结合ARP 欺诈 :中间人欺诈 局域网环境内实施 ,假装成网关欺诈 主要针对局域网内部主机与外网通信的情形 ;防范 :MAC的址与 IP 的址双向静态绑定TCP 欺诈 :将外部运算机假装成合法运算机;非盲攻击 :网络嗅探 ,已知目标主机的初始序列号 ,盲攻击 : 攻击者与目标主机不在同一个网络上DNS 欺诈 :基于 DNS 服务器的欺诈 ,基于用户运算机的DNS 欺诈4、2、4 诱骗式攻击网站挂马 :攻击者胜利入侵网站服务器,具有了网站中网页的修改权限技术 :框架挂马 : 直接加在框架代码与框架嵌套挂马; JS 脚本挂马 ;b ody 挂

28、马 ;假装欺诈挂马防范 :Web 服务器 ,用户运算机诱骗下载 :主要方式 : 多媒体类文件下载 ,网络嬉戏软件与插件下载,热门应用软件下载 ,电子书爱好者,P2P 种子文件文件捆绑技术 :多文件捆绑方式 ,资源融合捆绑方式,漏洞利用捆绑方式钓鱼网站社会工程可编辑资料 - - - 欢迎下载精品名师归纳总结4、2、5 软件漏洞攻击利用技术软件漏洞 :操作系统服务程序漏洞,文件处理软件漏洞,浏览器软件漏洞 ,其她软件漏洞软件漏洞攻击利用技术:直接网络攻击 ;诱骗式网络攻击:基于网站的诱骗式网络攻击,网络传播本的诱骗点击攻击4、2、6 拒绝服务攻击实现方式 :利用目标主机自身存在的拒绝服务性漏洞进行

29、攻击,耗尽目标主机 CPU 与内存等运算机资源的攻击,耗尽目标主机网络带宽的攻击分类 :IP 层协议的攻击 :发送 ICMP 协议的恳求数据包 ,Smurf 攻击 ;TCP 协议的攻击 :利用 TCP 本身的缺陷实施的攻击,包括 SYN-Flood 与 ACK-Flood攻击 ,使用伪造的源 IP 的址 ,利用 TCP 全连接发起的攻击,僵尸主机 ;UDP 协议的攻击 ;应用层协议的攻击:脚本洪水攻击分布式拒绝服务 DDos: 攻击者 ,主控端 ,代理端 ,僵尸网络防范 :支持 DDos 防备功能的防火墙4、2、7Web 脚本攻击针对 Web 服务器端应用系统的攻击技术:注入攻击 :SQL 注

30、入 ,代码注入 ,命令注入 ,LDAP 注入 ,XPath 注入 ;防范 :遵循数据与代码分别的原就拜访掌握攻击 ,非授权的认证与会话攻击针对 Web 客户端的攻击技术:跨站脚本攻击 XSS: 反射型 XSS非长久性的跨站脚本攻击,储备型 XSS 长久型的跨站脚本攻击 ,DOM-basedXSS 基于文档对象模型的跨站脚本攻击: 从成效上来说属于反射型XSS跨站点恳求伪造攻击 CSRF: 伪造客户顿恳求 ;防范 :使用验证码 ,在用户会话验证信息中添加随机数点击劫持攻击4、2、8 远程掌握木马 :可编辑资料 - - - 欢迎下载精品名师归纳总结具有远程掌握、信息偷取、隐匿传输功能的恶意程序;通

31、过诱骗的方式安装 ;一般没有病毒的的感染功能 ;特点 :假装性 ,隐匿性 ,窃密性 ,破坏性 ;连接方式 :C/S 结构 ;最初的网络连接方法;反弹端口技术 :服务器端主动的发起连接恳求, 客户端被动的等待连接;木马隐匿技术 :线程插入技术、 DLL动态劫持技术、 RootKit 内核隐匿技术 Wwbshell: 用 Web 脚本写的木马后门 ,用于远程掌握网站服务器;以 ASP、PHP、ASPX 、JSP等网页文件的形式存在;被网站治理员可利用进行网站治理、服务器治理等4、3 网络安全防护技术4、3、1 防火墙一般部署在网络边界 ,也可部署在内网中某些需要重点防护的部门子网的网络边界功能 :

32、在内外网之间进行数据过滤;对网络传输与拜访的数据进行记录与审计; 防范内外网之间的反常网络行为 ;通过配置 NAT 提高网络的址转换功能分类 :硬件防火墙 :X86 架构的防火墙 中小企业 ,ASIC 、NP 架构的防火墙 电信运营商 ;软件防火墙 个人运算机防护 防火墙技术 :包过滤技术 :默认规章 ; 主要在网络层与传输层进行过滤拦截,不能阻挡应用层攻击,也不支持对用户的连接认证,不能防止 IP 的址欺诈状态检测技术动态包过滤技术 : 增加了对数据包连接状态变化的额外考虑,有效阻挡Dos 攻击的址翻译技术 :静态 NA T,NAT 池,端口的址转换 PAT应用级网关 代理服务器 : 在应用

33、层对数据进行安全规章过滤体系结构 :双重宿主主机体系结构: 至少有两个网络接口, 在双重宿主主机上运行多种代理服务器,有强大的身份认证系统屏蔽主机体系结构:防火墙由一台包过滤路由器与一台堡垒主机组成,通过包过滤实现了网络层传输安全的同时,仍通过代理服务器实现了应用层的安全屏蔽子网体系结构:由两个包过滤路由器与一台堡垒主机组成;最安全 ,支持网络层、 传输层、应用层的防护功能 ;添加了额外的爱护体系 ,周边网络 非军事区 ,DMZ 通常放置堡垒主机与对外开放的应用服务器;堡垒主机运行应用级网关可编辑资料 - - - 欢迎下载精品名师归纳总结防火墙的安全策略4、3、2 入侵检测系统与入侵防备系统入

34、侵检测系统 IDS:掌握台 :在内网中 ,探测器 :连接交换机的网络端口分类 :依据数据采集方式:基于网络的入侵检测系统NIDS 、基于主机的入侵检测系统HIDS; 依据检测原理 :误用检测型入侵检测系统、反常检测型入侵检测系统技术 :误用检测技术 : 专家系统、模型推理、状态转换分析;反常检测技术 :统计分析、神经网络 ;其她入侵检测技术: 模式匹配、文件完整性检验、数据挖掘、运算机免疫方法体系结构 : 集中式结构 : 单一的中心掌握台;分布式结构 :建立树形分层结构部署 :一个掌握台可以治理多个探测器,掌握台可以分层部署 ,主动掌握台与被动掌握台入侵防备系统 IPS:部署 :网络设备 :网

35、络中需要爱护的关键子网或者设备的网络入口处,掌握台不足 :可能造成单点故障,可能造成性能瓶颈,漏报与无保的影响4、3、3PKI公共密钥基础设施就是创建、治理、储备、分布与作废数字证书的一场系列软件、硬件、人员、策略与过程的集合组成 :数字证书就是PKI的核心 ;安全策略 ; 证书认证机构 CA; 证书注册机构 ;证书 分发机构 ;基于 PKI 的应用接口数字证书信任模式 : 单证书认证机构信任模式,层次信任模型 ,桥证书认证机构信任模型4、3、4VPN利用开放的物理链路与专用的安全协议实现规律上网络安全连接的技术网络连接类型 : 远程拜访型 VPNClient-LAN客户机与服务器都安装VPN

36、 软件 ;网络到网关类型的 VPNLAN-LAN客户端与服务器各悠闲自己的网络边界部署硬件VPN 网关设备VPN 协议分类 :网络隧道技术其次层隧道协 : 封装数据链路层数据包 ;介于二、三层之间的隧道协议;第三层隧道协议IPSec,通用路由封装协议GRE; 传输层的SSL VPN协议:SSL 协议工作在可编辑资料 - - - 欢迎下载精品名师归纳总结TCP/IP 与应用层之间4、3、5 网络安全协议Internet 安全协议 IPSec:引入加密算法、数据完整性验证与身份认证;网络安全协议 :认证协议头 AH 、安全载荷封装 ESP,传输模式、隧道模式 ,密钥协商协议 :互联网密钥交换协议

37、IKE传输层安全协议SSL: 解决点到点数据安全传输与传输双方身份认证的网络安全传输协议;记录协议与握手协议应用层安全协议 :Kerberos 协议;SSH 协议 :加密全部传输的数据 ,能防止 DNS 欺诈与 IP 欺诈 ;安全超文本传输协议 SHTTP; 安全多用途网际邮件扩充协议S/MIME; 安全电子交易协议 SET第五章 应用安全依据漏洞的生命周期不同阶段的划分: 0day 漏洞、 1day 漏洞、已公开漏洞。漏洞定义的三个要素 :漏洞就是运算机系统本身存在的缺陷 漏洞的存在与利用都有肯定的环境要求 漏洞的存在本身就是没有什么危害的 ,只有被攻击者恶意利用 ,才能给运算机系统带来威逼

38、与缺失。软件漏洞危急等级的划分:第一级 :紧急 ;其次级 : 重要;第三级 :中危 ;第四级 :低危。国内外知名的软件库有:CVE 、Bugtraq、 NVD 、CNNVD 、EDB 、常见的软件漏洞缓冲区漏洞 :栈溢出漏洞、堆溢出漏洞、单字节溢出漏洞格式化字符串漏洞整数溢出漏洞:储备溢出、运算溢出、符号问题数组越界漏洞写污点值到污点的址漏洞内存的址对象破坏性调用漏洞可编辑资料 - - - 欢迎下载精品名师归纳总结Windows 操作系统中供应的主要几种漏洞防范技术:GS Stack protection 、DEP、ASLR 、SafeSEH、SEHOP软件生命周期 :问题定义、可行性分析、总

39、体描述、系统设计、编码、调试与测试、验收与运行、爱护升级到废弃。软件开发生命周期模型瀑布模型 /改进的瀑布模型、螺旋模型、迭代模型、快速原型模型。软件开发技术 :建立安全威逼模型、安全设计、安全编码、安全测试微软的软件安全开发周期SDL:其生命周期模型包括13 个阶段第 0 阶段 :预备阶段第 1 阶段 :项目启动阶段第 2 阶段 :定义需要遵守的安全设计原就第 3 阶段 :产品风险评估第 4 阶段:风险分析第 5 阶段 :创建安全文档、安全配置工具第 6 阶段 :安全编码策略第 7 阶段 :安全测试策略第 8 阶段 :开发团队自身进行的全面c安全分析监测第 9 阶段 :最终安全评审第 10

40、阶段: 组建安全响应团队制定安全响应方案第 11 阶段 :产品发布第 12 阶段 :安全响应执行软件安全监测技术静态安全监测 :词法分析、数据流分析、污点传播、符号执行、模型检查、定理证明动态安全监测 :模糊测试、智能模糊测试、动态污点分析动静结合的安全监测 :BitBlaze基于软件技术的软件安全爱护技术注册信息验证技术、 软件防篡改技术、 代码混淆技术、 软件水印技术、 软件加壳技术、 反调试反跟踪技术代码混淆技术 词法转换、掌握流转换、数据转换基于硬件技术的软件安全爱护技术可编辑资料 - - - 欢迎下载精品名师归纳总结加密狗 常用 、光盘爱护技术、专用的运算机接口卡恶意程序的分类单一功

41、能病毒 文件感染型病毒、宏病毒、引导型病毒、邮件型病毒 、木马、蠕虫、恶意脚本、综合型病毒。恶意程序的传播方法网站挂马、诱骗下载、通过移动储备介质传播、通过电子邮件与即时通信软件传播、通过局域网传播恶意程序的破坏功能浏览器配置被修改、窃取用户密码账号等隐私信息、实现远程掌握、 破坏系统或网络的正常运行恶意程序监测查杀技术特点码查杀、启示式查杀、虚拟机查杀、主动防备技术Web 应用的十大安全威逼排名注入、 跨站脚本、遭破坏的身份认证与会话治理、担心全的直接对象引用、伪造跨站恳求、安全配置错误、担心全的加密储备、没有限制的URL 拜访、传输层爱护不足、未验证的重定向与转发Web 安全防护客户端安全

42、防护、网络通信安全防护、服务器端安全防护Web 安全监测黑盒检测、白盒检测第六章 信息安全治理信息安全治理体系ISMS 提现预防掌握为主的思想、本着掌握费用与风险平稳的原就标准信息系统的组成 :人员、过程、数据、信息、软件、硬件因特网组件 :可编辑资料 - - - 欢迎下载精品名师归纳总结服务器、网络设置路由器、集线器、交换器、爱护设备 防火墙、代理服务、电缆信息安全治理方面的内容:信息安全治理体系ISMS 、信息安全风险治理、信息安全治理措施信息安全风险治理 :风险识别、风险评估、风险掌握策略风险评估分为 自评估 与检查评估。信息安全治理体系提现预防掌握为主 的思想。信息安全治理体系的审核包

43、括治理 与技术两个方面的审核。信息安全评估原就 :自主、适应度量、已定义过程、连续过程的基础风险掌握策略中缓解就是一种掌握方法,包括 :大事响应方案、灾难复原方案、业务连续性方案要制定一套好的安全治理策略,必需与 决策层 进行有效沟通 ,并得到 组织机构高层领导的支持与承诺。拜访掌握分为 :预防性的拜访掌握、探查性拜访掌握、订正性拜访掌握拜访掌握的实现 :行政性拜访掌握、规律/技术性拜访掌握、物理性拜访掌握重要安全治理过程 :系统猎取、开发与爱护;信息安全大事治理与应急响应;业务连续性治理与灾难复原事故响应分四个阶段 :方案 ;检测 ;反应 ;复原第七章 信息安全标准与法规信息技术安全评判的通用准就CC, 就是由六个国家 美国、加拿大、英国、法国、德国、荷兰 于 1996 年联合提出。 CC标准就是第一个信息技术安全评判国际标准, 它的发布对信息安全具有重要意义 , 就是信息技术安全评判标准以及信息安全技术进展的一个重要里程碑。可编辑资料 - - - 欢迎下载精品名师归纳总结ISO 13335标准首次给出了关于IT 安全的 6 个方面的含义 :隐秘性、完整性、可用性、审计性、认证性、牢靠性。BS7799 就是依据英国的工业、政府与商业共同需求与进展的一个标准, 它分为 : 信息安全治理事物事物